Bagaimana Program Bug Bounty HackerOne Grammarly Mengurangi Kerentanan dan Risiko Keamanan

Di Grammarly, kami menganggap keamanan sebagai fitur produk pertama dan paling mendasar. Ini adalah inti dari cara kami beroperasi sebagai perusahaan dan cara kami mengembangkan produk. Salah satu upayanya adalah menjaga pengamanan internal, mulai dari pengendalian operasi dan program Security Champion hingga pemantauan aplikasi secara konstan oleh tim Keamanan khusus kami. Dan dengan tujuan memvalidasi kepercayaan lebih dari 20 juta orang dan 10.000 tim yang kami layani setiap hari, kami juga percaya bahwa penting untuk melangkah lebih jauh—dan berinvestasi dalam penilaian risiko tingkat tinggi dari sumber pihak ketiga.

Itu sebabnya kami menjalankan program bug bounty dengan HackerOne, platform keamanan terkemuka yang menyatukan para peretas etis untuk menilai segala jenis masalah keamanan siber. Sejak meluncurkan program publik pada tahun 2018, kami telah melihat keberhasilan besar dalam kemampuan kami mengurangi risiko insiden keamanan. Dengan akses ke kumpulan peneliti keamanan berbakat global, kami dapat mendiagnosis kerentanan sebelum diidentifikasi oleh pihak jahat untuk dieksploitasi.

Mendukung keamanan Grammarly melalui program bug bounty

Program bug bounty mengundang peretas etis untuk mendeteksi kerentanan perangkat lunak dan melaporkannya langsung ke perusahaan untuk diperbaiki. Peneliti keamanan mempelajari produk, menyusun laporan tentang bug yang terdeteksi, dan menerima imbalan berupa uang sesuai dengan tingkat kekritisan masalahnya. Mereka mengikuti pedoman ketat untuk penelitian keamanan etis yang mendukung penyedia perangkat lunak dalam memulihkan kemungkinan ancaman dengan cepat.

Grammarly berupaya mengeksplorasi semua cara yang memungkinkan untuk memastikan keamanan produk pada tingkat tertinggi. Kami memilih HackerO ne sebagai platform kami untuk bermitra dalam program bug bounty karena ini adalah salah satu platform terbesar yang berfokus pada peretasan etis dan menampung komunitas berbakat dan dihormati dengan keahlian keamanan siber yang tangguh. Dengan lebih dari 300.000 peretas terdaftar, platform ini memungkinkan penskalaan program pengawasan kerentanan global sepanjang waktu. Beberapa perusahaan teknologi terbesar dan terkemuka di dunia juga telah bermitra dengan HackerOne.

Menyiapkan program yang sukses

Untuk meluncurkan program bug bounty HackerOne publik kami, tim Keamanan Grammarly berkoordinasi dengan tim di seluruh organisasi Teknik untuk membuat seperangkat aturan yang jelas dan terperinci yang menguraikan bagaimana perusahaan dapat bekerja secara produktif dengan peretas. Hal ini mencakup spesifikasi tentang kerentanan apa yang paling penting untuk menjadi fokus komunitas HackerOne, serta persyaratan untuk mengirimkan laporan dan hadiah. Anda dapat melihat aturan dan pedoman yang memperjelas cakupan dan fokus pada halaman program HackerOne kami .

Untuk memiliki program bug bounty yang kuat, kami terlibat secara aktif dengan komunitas. Berikut adalah beberapa prinsip yang selalu diingat oleh tim Grammarly:

1. Kami menjaga komunikasi yang konsisten:Penting untuk menanggapi peretas dan menanyakan pekerjaan mereka. Meskipun tim HackerOne melakukan pra-tes laporan, kami juga melihat opsi yang ditolak untuk memastikan kami meninjau semua masukan yang mungkin berguna bagi kami untuk memperkuat postur keamanan kami.
2. Kami bereaksi dengan cepat:Kecepatan adalah yang terpenting. Di Grammarly, kami bangga dapat mempertahankan skor yang sangat tinggi untuk efisiensi respons—mendekati 100%. Sangat penting bagi kita untuk menghormati karya para peneliti, yang banyak di antaranya melakukan pekerjaan ini karena kepedulian terhadap produk kita dan minat untuk mempromosikan perangkat lunak yang aman.
3. Kami memberikan motivasi di luar remunerasi standar:Grammarly memastikan untuk memberikan bonus uang kepada para peneliti yang mengirimkan laporan berkualitas—bahkan jika mereka belum menemukan kerentanan kritis—sehingga para peneliti ini tetap terlibat. Kami juga memberikan bonus kepada peneliti keamanan yang tidak hanya mencari bug individual namun juga membangun skenario serangan kompleks yang terdiri dari beberapa kerentanan. Kami ingin mendorong analisis yang kompleks.

Memastikan pemulihan yang cepat

Program bug bounty HackerOne kami membantu kami memberikan produk yang aman dan terjamin bagi semua pengguna dan pelanggan kami. Hal penting dalam mencapai tujuan ini adalah memastikan tim kami segera merespons laporan dari peneliti keamanan—dan kemudian bekerja dengan tim di seluruh organisasi Teknik kami untuk melakukan remediasi secepat mungkin.

Untuk memastikan kami melakukan hal tersebut, Grammarly menjalankan proses resmi dan terstruktur untuk mengatasi kerentanan apa pun dengan cepat. Tim Keamanan kami mengelola semua laporan yang masuk, mengarahkan laporan ke tim yang diperlukan, dan berkolaborasi dengan teknisi untuk memberikan masukan yang diperlukan dan manajemen proyek untuk menyelesaikan masalah.

Setelah kami mengatasi potensi kerentanan, teknisi Grammarly harus dapat segera memberikan perbaikan kepada semua pengguna dan pelanggan. Itu sebabnya kami mempertahankan mekanisme pembaruan yang konsisten yang mempertimbangkan semua persyaratan fungsionalitas—sehingga semua pelanggan dapat percaya bahwa mereka selalu memiliki versi penawaran produk kami yang paling mutakhir dan aman.

Membangun kesuksesan bug bounty

Sejak peluncuran program bug bounty publik kami di HackerOne pada tahun 2018, Grammarly telah melihat komitmen luar biasa dari komunitas peneliti keamanan. Hingga saat ini, kami telah menyelesaikan hampir 150 laporan dan membayar lebih dari $100.000 kepada 127 peneliti. Statistik terus dikumpulkan di halaman program HackerOne kami .

Dan kami selalu terus mengembangkan program untuk fokus pada fitur-fitur baru dan pengembangan produk. Kami menambahkan bonus dan insentif lainnya untuk memastikan peneliti keamanan memperhatikan hal yang paling penting bagi pelanggan Grammarly. Saat kami terus mengembangkan asisten penulisan kami untuk mendukung komunikasi yang efektif di mana pun orang bekerja, kami secara konsisten terlibat dengan komunitas HackerOne untuk mendapatkan peneliti keamanan terkemuka untuk memberikan pengawasan penting pada tingkat pakar.

Grammarly sangat percaya pada program ini. Ini memfasilitasi akses kami ke sumber daya terbaik untuk memitigasi kerentanan dan menangkis potensi penyerang. Jutaan orang menggunakan Grammarly setiap hari—dan setiap pengguna harus dapat percaya bahwa perangkat lunak tersebut seaman dan seaman mungkin. Program bug bounty HackerOne Grammarly mendukung kami dalam upaya ini.

Pelajari lebih lanjut tentang operasi, kebijakan, praktik, dan pengesahan keamanan Grammarly di sini .